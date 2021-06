Sicherheitslücken mittels Pentestern und White-Hat-Hackern identifizieren

Ebenso unterschiedlich wie die Einsatzszenarien digitaler Werkzeuge in Unternehmen ausfallen, so vielfältig gestalten sich die einhergehenden Sicherheitslücken und Fehlkonfigurationen. Oft ist dies hastig entwickelten Anwendungen oder einem zu schnellen Ausbau der IT-Infrastruktur geschuldet – zuweilen mit der Priorisierung Schnelligkeit vor Sicherheit. White-Hat-Hacker können hier mithilfe von Pentesting einen Ausweg bieten, um die Sicherheit trotz Zeitdruck nicht nur in Applikationen, sondern auch in Konfigurationen signifikant zu verbessern.

White-Hat-Hacker machen im Firmenauftrag Sicherheitslücken ausfindig.

Unternehmen sind vernetzter als je zuvor. Die digitalen Produktions- und Lieferprozesse erfordern dabei eine wachsende Zahl von Datenverbindungen zu Lieferanten, Kunden und Partnerunternehmen. Gleichzeitig steigt aber die Komplexität der Unternehmens-IT durch neue Paradigmen und die Funktionsvielfalt der Infrastruktur, deren Anbindung und Zugriffsmöglichkeiten. Darüber hinaus ist aber auch das Thema Cybersicherheit zu einer der wichtigsten Prioritäten von Unternehmen geworden, waren doch 2019 drei von vier Unternehmen von einem Cyberangriff betroffen, so das Ergebnis einer Bitkom-Studie zum Thema Cyberkriminalität. Entsprechend müssen sich die Unternehmen dringend darüber Gedanken machen: Wie lässt sich die IT-Infrastruktur besser vor Angriffen schützen?



Nun arbeiten die Hersteller der IT-Lösungen zwar intensiv daran, diese Systeme ab Werk möglichst sicher auf dem Markt zu bringen. Es wird getestet und untersucht sowie jede mögliche Schnittstelle, jede Variable auf potenziellen Missbrauch geprüft. Doch das ist nur die eine Seite der Medaille. Die andere ist die Konfiguration der Lösung. Auch hier sind selbst die besten Experten nicht davor gefeit, dass ihnen Fehler unterlaufen.



IDOR als Negativbeispiel

Es ist nicht so ganz einfach, verlässliche Daten für die Häufigkeit von sicherheitsrelevanten Falsch- oder Fehlkonfigurationen zu erhalten, doch bietet gerade das Web und der Auftritt der Unternehmen mit eigenen Webshops hier ein Beispiel, dass es nicht immer die Schwachstelle ab Werk sein muss, die die Sicherheit gefährdet. Denn auch die Konfiguration kann durchaus eine wichtige Rolle dabei spielen und daraus können ebenfalls schwerwiegende Konsequenzen erwachsen.



Bei IDOR (Insecure Direct Object Reference) handelt es sich eine Schwachstelle in der Zugriffskontrolle. Oft tritt sie bei Webanwendungen oder APIs auf, wenn ein direkter Zugriff auf eine interne Datenbank erfolgt, dieser Zugriff aber nicht kontrolliert oder authentifiziert wird. Diese Sicherheitslücke können Angreifer relativ einfach ausnutzen, beispielsweise, wenn Benutzer die Möglichkeit haben, Inhalte auf einer Onlineplattform durch andere Inhalte zu ersetzen. Eine nicht sorgfältig genug geprüfte Konfiguration macht es dann möglich, das Verhalten der Plattform zu verändern, Daten zu stehlen oder auch das System als Host für Schadsoftware zu missbrauchen.